1-2021

Weitere Magazine

Empfehlungen

Info

Gebäudeautomation Hacken per Klimaanlage, Aufzug im freien Fall? Cybersicherheit in der Gebäudeautomation Cybersicherheit für industrielle Steuerungsnetze ist eine Herausforderung für sich. trotz Fernwartungszugang für die Klimatechnik. Die Digitalisierung deckt unterschiedliche und komplexe Anwendungsbereiche ab. Typische Anwendungen sind unter anderem HLK – die Heizung, Lüftung und Klimatechnik, Energie-Managementsysteme, Lichtsteuerung, Videoüberwachung, Zugangskontrollsysteme und die Aufzugssteuerung. Dazu kommen noch die angeschlossenen Sensoren und Geräte (Kameras, Thermostate, Lichtsensoren). Jedes dieser Systeme verspricht nicht unerhebliche Einsparungen bei den Betriebs- und Energiekosten. Allerdings vergrößern sie die Angriffsfläche für Cyberbedrohungen und erschweren das Sicherheits-Management als solches. Jedes System und jedes einzelne Gerät, einschließlich der verschiedenen Versionen und Überarbeitungen, weist ein bestimmtes Maß an potenziellen Cyberrisiken auf. Autor: Maximillian Gilg Industrial Control Systems Security Engineer, Tripwire www.tripwire.com/ Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood- Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt. Cybersicherheit für industrielle Steuerungsnetze ist aus vielen Gründen eine Herausforderung für sich. Ungeklärte oder überlappende Verantwortlichkeiten, technische Probleme, mangelnde Erfahrung auf Seiten der Anlagenbetreiber und der Sicherheitsexperten im Unternehmen, um nur einige zu nennen. Kritische Infrastrukturen Die meisten Steuerungssysteme eines Unternehmens sind, was ihre Rolle für die betriebliche Verfügbarkeit und den geschäftlichen Erfolg anbelangt, tatsächlich kritische Infrastrukturen. Dazu zählen Systeme wie eine Rechenzentrums-Klimaanlage, Brandmeldeanlagen, Aufzüge und Schließanlagen und selbst die Kühlschranksteuerung oder die vernetzte Kaffeemaschine. Üblicherweise liegen diese Anlagen und Systeme außerhalb des Einflussbereichs eines Cybersicherheitsbeauftragten. Oft genug weiß er nicht einmal, welche Systeme im Netz hängen. Die Folge: Das mögliche Angriffs risiko für eine Rechenzentrums-Klimaanlage wird erst gar nicht ins Kalkül gezogen, Die Risiken sind real Schon beim erfolgreichen Hack der Einzelhandelskette Target verschafften sich die Angreifer Zugang zu einem HLK-System. Von dort aus arbeiteten sie sich bis in die Finanzsysteme der Kette vor und zogen von dort über 40 Millionen Kreditkartendaten ab. Vor nicht einmal zweieinhalb Monaten erschütterte Ripple20 das IoT. Die zum Teil als kritisch eingestuften Sicherheitslücken wurden in einer TCP/IP-Implementierung aufgedeckt. Der TCP/IP-Stack verarbeitet als erste Instanz sämtliche Netzwerkdaten. Kommt es an dieser verwundbaren Stelle zu Programmierfehlern, führen diese oft zu schwerwiegenden Sicherheitslücken. Ripple20 gefährdet vernetzte Steckdosen, medizinische Geräte, aber auch die Sensoren industrieller Steuerungssysteme. Die Forscher der israelischen Sicherheitsfirma JSOF fanden gleich 19 Sicherheitslücken, zusammengefasst als „Ripple20“. Mittels Ripple20 sind Angreifer beispielsweise in der Lage, eigenen Code einschleusen und auszuführen (Remote Code Execution) oder kritische Daten auszulesen. Unsichere Industrieprotokolle 22 Haus und Elektronik 1/<strong>2021</strong>
Gebäudeautomation sind eine weitere und naheliegende Möglichkeit, wie Angreifer den Betrieb stören und gefährden können. Beliebte Protokolle in der Gebäudeautomation sind von Natur aus nicht besonders sicher konzipiert und weisen wie die im Fertigungssektor verwendeten ihre ganz eigenen Schwachstellen auf. Versierte Angreifer kennen diese Lücken und können vergleichsweise leicht auf die Dokumentation zugreifen, die zum Erstellen von Befehlen erforderlich ist. So lässt sich beispielweise der reibungslose Betrieb von Controllern und anderen Geräten stören. Cybersicherheit für Menschen, Prozesse und Technologien Menschen, Prozesse und Technologien unter diesen Bedingungen umfassend abzusichern, ist keine geringe Herausforderung. Das liegt auch daran, dass einfache Lösungen – wie Updates einspielen, segmentieren oder eine Antiviren-Software installieren – hier meistens nicht möglich sind, denn: • Updates stehen nicht zur Verfügung oder verändern die Funktion des eigentlichen Programms. • Layer-2-Protokolle und Echtzeitanforderungen erschweren das Segmentieren der Netze. • Die Installation einer Software kann zum Verlust der Garantieleistung führen oder Fehlfunktionen verursachen Sicherheit kann unter diesen Umständen selbst zum geschäftlichen Risiko werden. Allerdings zu einem kalkulierbaren. Zumindest unter der Voraussetzung, dass alle Komponenten und Schwachstellen ebenso lückenlos dokumentiert werden wie der gesamte Kommunikationsprozess. Am besten nutzt man zur Aufnahme dieser Informationen eine passiv arbeitende Software-Lösung, die den laufenden Betrieb einer Anlage oder eines Systems nicht beeinflusst. Anhand der so ermittelten Daten kann man eine passende Sicherheitsstrategie entwickeln und folgende Fragen beantworten: • Welche Systeme lassen sich problemlos auf den aktuellen Stand bringen? • Welche Systeme sollten besser als bisher geschützt werden? • Wo sollten Firewalls positioniert werden? • Welche Anlagen brauchen spezielle Schutzmaßnahmen? Kein Schutz ohne Kontrolle. Hier empfiehlt es sich alle Logging-Informationen einzusammeln und auf bekannte Muster sowie Anomalien hin zu untersuchen. Etwas einfacher ist die Methode, für diesen Teil des Anforderungsprofils auf die Lösung zurückzugreifen, die schon die Anlagendokumentation erstellt hat. Eine 24/7-Überwachung erleichtert das Leben von Betreibern, Unternehmen und Sicherheitsverantwortlichen. Aus dieser Überwachung lassen sich sämtliche Anlagen-bezogenen Informationen ziehen – wie etwa zu Angriffen, neuen Geräten im Netz oder abweichenden Verhaltensmustern sowie Benachrichtigungen und Alarme. Zusätzlich liefern solche Systeme Informationen zu aktuellen Schwachstellen oder neuen Angriffsszenarien. Neben diesen Status-Updates und Benachrichtigungen, bekommen Firmen Kriterien an die Hand, um den Stand ihrer Cybersicherheit immer wieder zu überprüfen und gegebenenfalls neu zu bewerten. Was tun, wenn Sie einen laufenden Angriff entdecken? Das ist ganz klar eine der Kernfragen. Denn was hilft es, einen Angriff aufzudecken, wenn der Plan fehlt, wie und in welchen Schritten man darauf reagieren soll. Problematisch ist vor allem, dass jeder Eingriff eines Cybersicherheits-Teams möglicherweise das System selbst, wie etwa die besagte Rechenzentrums-Klimaanlage zerstören könnte. Die Betreiber haben dann keine Möglichkeit mehr, den Angriff zu analysieren und zu bewerten. Man sollte deshalb unbedingt Prozesse definieren, wer bei welcher Art von Vorfall involviert werden soll. Zudem sollte man sämtliche Geräte klassifizieren und festlegen, inwieweit sie für den Prozess kritisch sind, den Prozess gefährden oder inwiefern sie nicht zwingend erforderlich, um den Prozess aufrechtzuerhalten. Dank dieser Klassifizierung kann man im Fall des Falles schneller und von der richtigen Seite aus eingreifen. Ist es gelungen, den Angriff einzugrenzen, muss man sich Gedanken machen wie man die Anlage in den Originalzustand zurückführt und welche zusätzlichen Sicherheitsvorkehrungen man treffen will, um einen ähnlichen Angriff zukünftig zu verhindern. Wenn Backups allein nicht reichen Ransomware ist nach wie vor einer der vorrangigen Bedrohungen, gerade im Umfeld jedweder Art von kritischer Infrastruktur. Ransomware-as-a-Service erlaubt es inzwischen auch technisch weniger versierten Angreifern, sich ein Stück vom Kuchen zu sichern. Das gilt auch für gezielte Angriffe gegen Betriebstechnologien und industrielle Steuerungssysteme. Einmal im Netz, bleibt eine Schad-Software oft für einen längeren Zeitraum unentdeckt, ohne sichtbaren Schaden anzurichten. Deshalb sollten Betreiber sich nicht nur auf eine gute Backup-Strategie verlassen, sondern Tools verwenden, die jegliche Veränderung dokumentieren, die Integrität überwachen und das Konfigurations-Management übernehmen. Damit stellt man zum Beispiel sicher, kein Backup einzuspielen, dass zuvor schon infiziert wurde. Mit all dem liefern die BSI-Vorgaben Firmen eine gute Orientierung, um sämtliche Komponenten und Prozesse dementsprechend zu härten. Der Markt bietet viele verschiedene Lösungen an, die helfen, diese Regelungen zu initialisieren, umzusetzen und zu erweitern. Einfach umzusetzen sind zum Beispiel passive Scanning Tools, Thread Intelligenz in DNS Response Policy Zones, Configchange Detection-Lösungen, Deep-Packed Insepection für industrielle Protokolle oder eine Network-Access-Control-Lösung. Viele dieser Ansätze haben sich in der Unternehmens-IT bereits bewährt. Es lohnt sich durchaus, existierende Technologien hinsichtlich ihrer Tauglichkeit in Prozessnetzen zu prüfen. Gerade, wenn es darum geht, mehr Transparenz für die Cybersicherheit zu schaffen. Das setzt allerdings voraus, dass IT- und OT-Teams sich besser verstehen. Dieses Verständnis ließe sich zum Beispiel fördern, indem ein Vertreter der IT- oder OT- Teams eine Zeit lang in der anderen Abteilung oder der Partnerorganisation arbeiten und sich vor Ort ein Bild des täglichen Betriebs machen. Sicherheitsvorfälle sind unvermeidlich, ob durch einen externen Cyberangriff, Aktivitäten eines böswilligen Insiders oder durch Bedienfehler. Daher ist es unentbehrlich, dass IT- und OT-Teams eng zusammenarbeiten, um kritische Systeme innerhalb eines Gebäudes umfassend zu schützen. ◄ Haus und Elektronik 1/<strong>2021</strong> 23
Seite 1 und 2: Dezember/Januar/Februar 1/2021 Jg.
Seite 3 und 4: Editorial Künstliche Intelligenz u
Seite 5 und 6: Einfache Verlängerung, Verbindung
Seite 7 und 8: Der digitale Dialog - machen Sie ih
Seite 9 und 10: Aktuelles Theben Bewegungs-/Präsen
Seite 11 und 12: Digitalisierung Die aktuelle Versio
Seite 13 und 14: PRESSEINFO DEZEMBER 2020 Partnersch
Seite 15 und 16: Gebäudetechnik sparnisse. Unmittel
Seite 17 und 18: Gebäudetechnik Kapazitiver Funksch
Seite 19 und 20: Gebäudekommunikation SKS IP und Vi
Seite 21: Bei der Einrichtung des Systems las
Seite 25 und 26: Lichttechnik Neue Broschüre zur BM
Seite 27 und 28: Lichttechnik GLADIATOR SL I und SL
Seite 29 und 30: Smart-Home Auch für die io-motoris
Seite 31 und 32: KNX • Integriertes Service-Tool (
Seite 33 und 34: Elektroinstallation DEHNshield ZP -
Seite 35 und 36: Elektroinstallation Innovative Klei
Seite 37 und 38: Netzwerkkomponenten CAT.6a-Patchkab
Seite 39 und 40: Messtechnik Neue tragbare Wärmebil
Seite 41 und 42: Energiemanagement Universeller Ener
Seite 43 und 44: TV, Radio und Internet Neue Kompakt
Seite 45 und 46: TV, Radio und Internet elektrische
Seite 47 und 48: Brandschutz Konstruktion von CATV-K
Seite 49 und 50: Brandschutz Küche eine hilfreiche
Seite 51 und 52: Sicherheitstechnik AJAX - das ultim
Seite 53 und 54: Videoüberwachung weithin sichtbare
Seite 55 und 56: Neue luftdichte Unterputzdosen Effi

1-2021

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?